Bonjour à tous,
 
Je souhaiterais intégrer un serveur linux dans un domaine géré par un active directory 2003.  
J'ai donc installé kerberos, samba (server et client), et winbind (samba-winbind). J'ai modifié aussi les fichiers pam. J'ai un utilisateur Windows qui a des droits d'administration sur le AD. Le compte de mon linux a été ajouté sur l'AD. J'ai ajouté mon utilisateur windows sur le linux, et sur samba. J'arrive à obtenir un ticket kerberos depuis un des serveur de l'ad (c'est une ferme de W2003). Mais je n'arrive pas à me logguer sur le domaine, je ne peux ajouter mon linux dans le domaine.  
 
Alors j'ai fait un tour sur le net avec notre ami google, et je n'ai rien trouvé qui puisse m'aider. J'ai comme erreurs récurentes des choses du style :
 
Failed to open /etc/samba/secrets.tdb
Join to domain is not valid: Access denied
 
*****
 
[2007/09/25 16:58:58, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
Sep 25 16:58:58 linux winbindd[21563]:   initialize_winbindd_cache: clearing cache and re-creating with version number 1
Sep 25 16:58:58 linux winbindd[21563]: [2007/09/25 16:58:58, 0] nsswitch/winbindd_util.c:init_domain_list(511)
Sep 25 16:58:58 linux winbindd[21563]:   Could not fetch our SID - did we join?
Sep 25 16:58:58 linux winbindd[21563]: [2007/09/25 16:58:58, 0] nsswitch/winbindd.c:main(1105)
Sep 25 16:58:58 linux winbindd[21563]:   unable to initalize domain list
 
**********
 
user@linux :~> net rpc testjoin
Unable to find a suitable server
Join to domain 'mydomain' is not valid
 
*********
 
user@linux :~> net join
[2007/09/25 17:16:43, 0] passdb/secrets.c:secrets_init(67)
  Failed to open /etc/samba/secrets.tdb
Invalid configuration.  Exiting....
Failed to join domain: Access denied
ADS join did not work, falling back to RPC...
Unable to find a suitable server
Unable to find a suitable server
 
***  
Failed to join domain: Strong(er) authentication required
 
****
 
Voilà .. j'en ai un peu marre si quelqu'un pouvait me donner un conseil , ce serait sympa ...

Salut,
tu as suivis quoi comme procedure pour rallier ton poste à l'AD...
krb5.conf est correctement renseigné?
 
uote]Join to domain 'mydomain' is not valid[/quote]
Me parait plutot bizarre...
 

Voici mon krb5.conf
 
[logging]
        default = FILEvar/log/krb5/libs.log
[libdefaults]
        default_realm = XXX.XXXXX.XXXX
        clockskew = 300
[realms]
XXX.XXXXX.XXXX = {
        kdc = XXX.XXXXX.XXXX
        default_domain = XXX.XXXXX.XXXX
        admin_server = XXX.XXXXX.XXXX
}
 
[domain_realm]
        .xxx.xxxxx.xxxx = XXX.XXXXX.XXXX
        xxx.xxxxx.xxxx = XXX.XXXXX.XXXX
[kdc]
        profile = /var/kerberos/krb5kdc/kdc.conf
 
[appdefaults]
pam = {
        debug = false
        ticket_lifetime = 36000
        renew_lifetime = 87000
        forwardable = true
        krb4_convert = false
        proxiable = false
        retain_after_close = false
        minimum_uid = 0
        try_first_pass = true
}
 
***  
J'ai mon winbind qui est mort.. a force de trifouiller le smb.conf, il a fini par craquer....
 
Concernant le cheminement j'ai suivi :
http://codeidol.com/other/samba/Do [...] ity-Modes/
puis
http://www.administrator.de/Anmeld [...] daten.html
puis  
http://susewiki.org/index.php?titl [...] ctory_2003
 
et plusieurs autres encore...
 
Donc pour résumer:
- installation des paquets
- krb5.conf
- smb.conf, testparm =>ok
- kinit et kilst => ok
 et net ads join, net rpc join, net testjoin, me donnent entre autres les erreurs ci-dessus.
 
pour infos, je suis sur une suse entreprise 10.1, kernel 2.6.16.21-0.8-default. Le samba est une version 3.0.26a-0.1.83-1478-SUSE-CODE10.
 
 

Mais dans ton krd5.conf sur les varaiables realm tu as mis les IP ou le nom du domaine?
 
Si ca peut t'aider, j'ai mis en ligne la procedure (tester et retester sous debian) ici Tu n'as qu'a t'arreter juste avant le paramétrage de squid...

Alors pour préciser: je n'ai pas le compte Administrateur, on m'a donné un compte "équivalent". Du moins, un compte qui aurait le droit de rajouter des utilisateurs dans l'AD. Je ne sais pas en fait si c'est vraiement important, j'entends par la que si mon user a les droits, cela ne devrait pas etre dérangeant, mais si l'AD veut que ce soit vraiement Administrateur qui effectue le join, .. ben c'est pas possible .....
 
sinon j'ai mis dans le krb5.conf le nom de domaine.
 
Pour la commande join , j'ai :
 
monuser@linux:~> net join -U monuser
[2007/09/25 17:50:58, 0] passdb/secrets.c:secrets_init(67)
  Failed to open /etc/samba/secrets.tdb
Invalid configuration.  Exiting....
Failed to join domain: Access denied   => je l'ai rajouté ds sudoers
ADS join did not work, falling back to RPC...
Unable to find a suitable server
Unable to find a suitable server
 
Ceci dit.. je crois savoir pourquoi : winbind is dead .... et je n'arrive plus à le refaire fonctionner ... arrrgg .. j'en ai marre ...

Ok. Je teste ta procédure. je reviens

Oui ca n'a rien a voir avec sudo, ta config ip (DNS surtout), ton hostname et l'heure système sont bien reglés?
Bref sans winbind spapossible, mais là j'ai carrement l'impression qu'il ne joint pas les DC de ton domaine (soucis de resolution de noms? )
 
++

bon j'arrive jusque là :  
 
linuxetc # klist
Ticket cache: FILEtmp/krb5cc_0
Default principal: monuser@XXXX.XXXXX.XXXX
 
Valid starting     Expires            Service principal
09/25/07 18:15:46  09/26/07 04:16:45  krbtgt/XXXX.XXXXX.XXXX@XXXX.XXXXX.XXXX
        renew until 09/26/07 18:15:46
 
 
apres winbind ne veut pas redémarrer ......

pour le winbind, j'ai ca dans les logs :
 
Sep 25 18:25:19 linux winbindd[29194]: [2007/09/25 18:25:19, 0] nsswitch/winbindd_util.c:init_domain_list(511)
Sep 25 18:25:19 linux winbindd[29194]:   Could not fetch our SID - did we join?
Sep 25 18:25:19 linux winbindd[29194]: [2007/09/25 18:25:19, 0] nsswitch/winbindd.c:main(1105)
Sep 25 18:25:19 linux winbindd[29194]:   unable to initalize domain list
 
et puis dead .....

Plus personne ?

Peux tu donner ta config samba?
Ta config DNS est correct?
Tu pingues ton DC avec son FQDN?

Voic tout ce que j'ai dans mon smb.conf
 
[global]
        workgroup = XXXX
        realm = XXXX.XXXXX.XXXX
        security = ads
        encrypt passwords = yes
        password server = XXXX.XXXXX.XXXX
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
 
Sachant que :
nslookup XXXX.XXXX.XXXX
;; Truncated, retrying in TCP mode.
Server:         xxx.xxx.xxx.xxx
Address:        xxx.xxx.xxx.xxx#53
 
Non-authoritative answer:
Name:   XXXX.XXXX.XXXX
Address: xxx.xxx.xxx.xxx => IP 1
Name:   XXXX.XXXX.XXXX
Address: xxx.xxx.xxx.xxx => IP 2
Name:   XXXX.XXXX.XXXX
Address: xxx.xxx.xxx.xxx => IP 3
etc ...
 
et que si je fais simplement :
 nslookup XXXX => premiere partie de mon domaine
Server:         xxx.xxx.xxx.xxx
Address:        xxx.xxx.xxx.xxx#53
 
** server can't find XXXX: NXDOMAIN
 
et enfin :
ping XXXX.XXXXX.XXXX
PING XXXX.XXXXX.XXXX (xxx.xxx.xxx.xxx) 56(84) bytes of data.
64 bytes from XXXXdc.XXXX (xxx.xxx.xxx.xxx): icmp_seq=1 ttl=123 time=1.28 ms
64 bytes from XXXXdc.XXXX (xxx.xxx.xxx.xxx): icmp_seq=2 ttl=123 time=1.17 ms
 
Désolé pour tout les XXX et xxx mais je ne peux pas donner plus de détails
 
Sinon voici mon krb5.conf:
[libdefaults]
        default_realm = XXXX.XXXXX.XXXX
[realms]
XXXX.XXXXX.XXXX = {
        kdc = XXXX.XXXXX.XXXX
        default_domain = XXXX.XXXXX.XXXX
        admin_server = XXXX.XXXXX.XXXX
        }
[domain_realm]
        .xxxx.xxxxx.xxxx = XXXX.XXXXX.XXXX
         xxxx.xxxxx.xxxx= XXXX.XXXXX.XXXX
 
Dois je mettre un nom de serveur ?  Sachant que lorsque je tape XXXX.XXXXX.XXXXX, il y a une ferme de serveur derrière.
Enfin, winbind semble très sensible au workgroup . Il vaut mieux lui donner quoi exactement ? Nm de domain (il y a un ad derrière) ?